Come avvengono gli attacchi alla sicurezza informatica? Potresti aver già visto (e prevenuto) una o due delle minacce alla sicurezza informatica più comuni nel tuo hotel. Ecco alcuni dei modi più frequenti in cui i criminali cercano di entrare nei dati protetti del tuo hotel:

• Attacchi di phishing: questi attacchi iniziano con un'e-mail fraudolenta, un messaggio di testo o una telefonata che induce un dipendente a condividere informazioni sensibili. Ad esempio, il tuo hotel potrebbe ricevere un'e-mail che sembra provenire da un'OTA e l'e-mail ti chiede di cliccare su un collegamento per impedire che la scheda del tuo hotel venga disattivata. Un dipendente che non è a conoscenza di questo tipo di attacco potrebbe cliccare sul collegamento e condividere inavvertitamente informazioni finanziarie o dati personali con l'aggressore.

• Attacchi ransomware: in questo attacco, un software dannoso blocca il tuo dispositivo fino al pagamento di un riscatto, solitamente una somma di denaro in criptovaluta. Questo tipo di attacco può rendere inutile il software di un hotel, per giorni. Nel 2023 un attacco ransomware ha colpito MGM Resorts e ha messo offline i loro sistemi per 60 ore , il che significava che il loro PMS era inattivo, oltre a non essere in grado di creare tessere magnetiche, riscuotere pagamenti o gestire il parcheggio.

• Violazioni dei dati: qualsiasi furto di informazioni sensibili, come dati di carte di credito e numeri di passaporto, è considerato una violazione dei dati. Gli hotel sono grandi obiettivi per le violazioni dei dati a causa della quantità di questi dati che gestiscono. Marriott è stata vittima di una massiccia violazione dei dati nel 2018 in cui sono state esposte le informazioni personali di oltre 500 milioni di ospiti.

• Minacce interne: sebbene molti attacchi informatici abbiano origine al di fuori delle organizzazioni attaccate, non è raro che si verifichi un inside job. Quando i dipendenti hanno ampio accesso alle informazioni degli ospiti, ai dati finanziari e alle password, è possibile che si verifichi un furto di dati o una perdita di sicurezza. Mantenere un adeguato controllo degli accessi ai sistemi e condurre una formazione regolare dei dipendenti sui protocolli di sicurezza contribuirà a ridurre al minimo il rischio di una minaccia interna.

Come abbiamo detto sopra, gli attacchi alla sicurezza informatica avvengono negli hotel, e con una frequenza infelice. Potresti aver sentito parlare di due importanti incidenti di sicurezza informatica che hanno fatto notizia negli ultimi anni: la violazione dei dati del Marriott e l'attacco ransomware al MGM.

Tra il 2014 e il 2018 Marriott è stata colpita da un attacco informatico che ha esposto le informazioni personali di circa 500 milioni di ospiti passati. Gli hacker hanno messo le mani su dati come indirizzi, indirizzi e-mail, numeri di telefono e persino numeri di passaporto e numeri di carta di credito. Come è successo? Marriott afferma che i dati erano protetti, ma non crittografati, quindi non appena gli hacker sono entrati nel sistema di prenotazione di Marriott, hanno potuto facilmente rubare i dati. Marriott è stata multata per quasi 24 milioni di dollari di sanzioni e l'incidente è passato alla storia come una delle più grandi violazioni di dati di sempre.

Un diverso tipo di attacco alla sicurezza informatica ha colpito MGM nel settembre 2023: un attacco ransomware ha causato il blocco dei sistemi di back-office e rivolti agli ospiti per alcuni giorni, causando una perdita di fatturato stimata di 100 milioni di dollari. Gli ospiti hanno segnalato problemi con le tessere magnetiche, le slot machine, gli sportelli bancomat, i sistemi di parcheggio e altro ancora di MGM, e l'incidente è stato su tutti i giornali. Non è chiaro se MGM abbia pagato un riscatto agli aggressori, ma Caesars è stata colpita da un attacco simile poco prima di MGM e Caesars ha pagato circa 15 milioni di dollari di riscatto agli hacker in un accordo in cui si impegnavano a non rilasciare i dati rubati.

Nessun hotel vuole essere vittima di un attacco alla sicurezza informatica, quindi come puoi impedire che si verifichi un incidente? La buona notizia è che ci sono alcune semplici best practice, alcune delle quali puoi implementare oggi stesso, per mantenere i tuoi dati al sicuro ed evitare di diventare un bersaglio:

• Implementa controlli di accesso rigorosi: in qualsiasi sistema che ospita informazioni sensibili, dovresti configurare l'accesso basato sui ruoli in modo che solo i dipendenti che hanno realmente bisogno di visibilità su questi dati possano accedervi. Non c'è motivo per cui ogni dipendente debba essere un amministratore in ogni sistema. Inoltre, rendi l'autenticazione a più fattori uno standard per aggiungere un ulteriore livello di sicurezza.

• Tieni regolari sessioni di formazione per i dipendenti: in molti casi, un dipendente clicca per errore su un'e-mail fraudolenta perché non sapeva come individuare un tentativo di phishing. Assicurati che i tuoi dipendenti siano in grado di riconoscere i tentativi di phishing e altre minacce informatiche e usa queste sessioni di formazione per tenerli aggiornati sui più recenti protocolli di sicurezza informatica del tuo hotel.

• Reti WiFi sicure per gli ospiti: per proteggere i dati sensibili del tuo hotel, dovresti avere due reti WiFi separate in loco: una per gli ospiti e una per uso interno. La rete interna dovrebbe essere protetta da password e off-limits per chiunque non faccia parte della tua organizzazione.

• Crittografa i tuoi dati: evita di finire come Marriott, in una situazione in cui i tuoi dati rischiano di essere rubati perché non sono crittografati. Sia che tu stia inviando o ricevendo dati sensibili, o semplicemente memorizzandoli, i tuoi sistemi di pagamento e il database delle prenotazioni dovrebbero essere completamente crittografati.

• Eseguire audit di sicurezza regolari: collaborare con un fornitore di sicurezza informatica terzo per valutare i rischi per la sicurezza ed effettuare la penetrazione a intervalli regolari

• Stabilisci un piano di risposta agli incidenti: sebbene non sia mai divertente pensare allo scenario peggiore, è una buona idea formulare un piano su come tu e il tuo team gestireste una violazione della sicurezza informatica. Pensa a come risponderesti rapidamente per ridurre al minimo l'impatto e mantenere operativo il tuo hotel durante l'incidente.

Quali strumenti e tecnologie ti aiuteranno a proteggere i tuoi dati? Come minimo, i tuoi dispositivi on-premise dovrebbero avere firewall e software antivirus installati per prevenire malware pericolosi. I sistemi di rilevamento delle intrusioni possono anche avvisarti se viene scaricato un file dannoso o se un utente non autorizzato ottiene l'accesso a un dispositivo. Quando invii o raccogli dati degli ospiti, è anche una buona idea usare un sistema di tokenizzazione per crittografare i dati, eliminando la possibilità di una violazione dei dati durante il transito.

Detto questo, le tecnologie emergenti come gli strumenti di sicurezza informatica basati sull'intelligenza artificiale e la blockchain mirano ad aggiungere un livello di sicurezza maggiore a molti tipi di transazioni. Questi potrebbero eliminare la necessità di password e altre chiavi di accesso potenzialmente vulnerabili.

Dato che gli hotel gestiscono molti dati sensibili degli ospiti, dagli indirizzi e-mail ai numeri di passaporto, è fondamentale non solo proteggere questi dati, ma anche rispettare le normative locali. Alcune normative sono particolarmente rilevanti per il settore alberghiero:

• GDPR: il Regolamento generale sulla protezione dei dati è un regolamento dell'Unione Europea che stabilisce gli standard su ciò che le aziende possono e non possono fare con i dati personali. Potresti aver notato che i siti web aggiungono pop-up che chiedono il tuo consenso per memorizzare i cookie; questo consenso è stato un risultato del GDPR recentemente implementato. Le aziende che hanno siti web che servono utenti europei devono rispettare il GDPR o rischiare azioni legali.

• CCPA: ispirato al GDPR, il California Consumer Privacy Act è una legge statale che garantisce agli utenti di sapere quali dati vengono raccolti su di loro, come vengono utilizzati, dove vengono archiviati e come eliminarli.

• PCI DSS: relativamente in particolare ai dati delle carte di credito, i Payment Card Industry Data Security Standards delineano gli standard che le aziende devono seguire quando raccolgono e archiviano informazioni sui pagamenti, oltre a una verifica annuale del rispetto delle pratiche di sicurezza consigliate.

Rispettando queste normative, i tuoi dati sensibili saranno al sicuro ed eviterai il rischio di sanzioni legali.

Ora sai come proteggere i dati e l'infrastruttura digitale del tuo hotel oggi, ma cosa puoi aspettarti con l'avvento delle nuove tecnologie? Alcuni progressi tecnologici richiederanno sicuramente una grande attenzione ai rischi per la sicurezza e alla protezione dei dati.

Poiché gli hotel utilizzano sempre più dispositivi IoT (Internet of Things), come serrature intelligenti e altoparlanti intelligenti, ci saranno più dispositivi da proteggere, rendendo ancora più importante disporre di reti WiFi sicure e di controlli di accesso adeguati.

E l'aumento delle misure di sicurezza biometriche, come il riconoscimento facciale e la scansione delle impronte digitali, porterà a informazioni identificative personali ancora più sensibili che devono essere trasmesse e archiviate in modo sicuro. Tuttavia, la biometria può aiutarti a controllare meglio l'accesso ai tuoi sistemi o spazi fisici; una password può essere facilmente condivisa, ma un'impronta digitale no.

Il passaggio alle esperienze digitali degli ospiti porta anche a una maggiore complessità quando si tratta di prevenire i rischi per la sicurezza informatica. L'accesso senza chiave alle camere, ad esempio, ha molti vantaggi, ma espone anche al rischio che un hacker possa entrare senza autorizzazione in una camera. Allo stesso modo, il check-in tramite dispositivi mobili è più rapido e comodo rispetto alla coda alla reception, ma significa che gli hotel devono essere più attenti a mantenere i dati degli ospiti al sicuro su molti dispositivi e sistemi.